【技术实现步骤摘要】
本专利技术涉及防火墙,尤其涉及一种防火墙系统以及防火墙装置。
技术介绍
1、随着数字经济快速发展,it技术得到了飞速发展,数字化进程已深入各行各业,保障互联网、金融、政府、电力和军工等行业网络基础设施服务正常运行,网络安全防护措施有效可行,已成为各行各业关注的焦点。在网络安全体系中,防火墙作为一种重要的安全设备,负责监控、过滤和控制网络流量,防范潜在的网络威胁,保障网络的安全稳定运行。然而,随着网络规模的扩大和网络应用的日益复杂,传统的防火墙设计在面对硬件故障或其他异常情况时往往难以提供业务连续性和安全防护性高可用保障。为了应对这些挑战,设计一种网络中防火墙的高可用方案变得至关重要。
2、高可用性是指系统在面对各种意外故障或恶意攻击时,仍能够保持正常运行和提供服务的能力。在防火墙的背景下,高可用性设计旨在确保网络流量的连续过滤和保护,即使在设备故障或网络异常的情况下,也能够迅速切换至备用设备,保持网络的安全和稳定。为了实现网络中防火墙的高可用性,需要采用一系列先进的技术手段,包括但不限于智能负载均衡、冗余设备配置、实时监控和自动故障转移等。这些技术手段将确保防火墙系统在面对各种威胁和意外情况时,具备强大的抗击打能力和快速的故障响应机制,从而提高整个网络安全体系的韧性和可靠性。
3、现有的防火墙高可用技术中,防火墙在网络中的高可用部署模式通常采用冗余线路交叉部署的方式,在防火墙的上下口交叉多条冗余光纤线路,以起到冗余链路的作用保证网络设备的高可用。如图1所示,核心交换机采用两组堆叠的方式实现逻辑上为一台设备
4、第一,正常情况下主备工作模式的防火墙主防火墙处于激活连通状态,备防火墙处于待机阻断状态,但是经过验证存在防火墙主备工作模式异常的情况,表现为主防火墙和备防火墙同时处于工作状态,核心交换机—主备墙—接入交换机存在多条物理环路,进而的存在网络环路网络风暴的风险,会导致接入交换机下面的所有服务器服务中断。
5、第二,ha线路故障后,主备防火墙不能感知到对方的工作状态,此时主备防火墙同时激活,业务流量选择防火墙链路转发时可能会出现链路选择紊乱的问题,流量既能走主墙的链路也能走备墙的链路,对于上层应用业务,一个tcp请求的回应可能经不同设备转发,进而导致页面加载失败,整体表现为业务持续中断,除此之外还存在网络环路的问题,导致服务器服务提供异常或中断。
6、第三,防火墙上下行故障可归纳为工作链路上任一单一硬件故障,均会导致业务中断,业务中断时间短到几十秒级,长达分钟级,这都会影响业务的连续性。
7、因此,亟需提供一种新的网络中防火墙高可用设计,以满足日益复杂和严峻的网络安全挑战,为用户提供更可靠、稳定的网络安全保障。
技术实现思路
1、本专利技术实施例旨在亟需提供一种新的网络中防火墙高可用设计,以满足日益复杂和严峻的网络安全挑战,为用户提供更可靠、稳定的网络安全保障。
2、本专利技术实施例提供一种防火墙系统,所述防火墙系统包括:防火墙层、汇聚交换机层以及接入交换机层,所述防火墙层与所述汇聚交换机层之间通过链路聚合层进行通信连接,所述汇聚交换机层与所述接入交换机层之间通过链路聚合层进行通信连接;
3、其中,所述防火墙层包括主墙以及从墙,采用二层主备部署,所述主墙与所述从墙之间通过虚拟线配置,所述主墙与所述从墙通过链路聚合层与所述汇聚交换机层进行通信连接。
4、可选的,所述主墙与所述从墙之间通过专用ha链路搭建高可用集群,所述主墙与所述从墙之间周期性发送ha心跳信息,通告本地可用的虚拟线条数。
5、可选的,所述防火墙层通过链路聚合层与核心交换机层通信连接。
6、可选的,所述核心交换机层包括堆叠部署的至少两台核心交换机设备,至少两台所述核心交换机设备的下行口通过链路聚合层与所述防火墙层进行通信连接。
7、可选的,所述汇聚交换机层包括堆叠部署的至少两台汇聚交换机设备,至少两台所述汇聚交换机设备的上行口通过链路聚合层与所述防火墙层进行通信连接。
8、可选的,所述每台所述汇聚交换机设备的下行口分别通过链路聚合层与所述接入交换机层通信连接。
9、可选的,所述链路聚合层通过lacp协议进行构建。
10、可选的,所述链路聚合层通过设备中的链路聚合控制协议数据单元来交互链路聚合的相关信息。
11、可选的,所述核心交换机设备与所述汇聚交换机设备的交换机侧添加聚合接口最大选中数为1,聚合口成员接口下添加接口优先级配置,接口优先级配置用于使交换机聚合口的成员口选中状态与防火墙主备状态一致,以保障业务始终以一侧转发,聚合接口最大选中数为1用于保证分裂后,交换机arp表项和mac表项不刷新。
12、本专利技术实施例还提供一种防火墙装置,所述防火墙装置包括主墙以及从墙,采用二层主备部署,所述主墙与所述从墙之间通过虚拟线配置,所述主墙与所述从墙通过链路聚合层与汇聚交换机层进行通信连接。
13、本专利技术实施例中,防火墙层与接入交换机层之间增加一层汇聚交换机层,增加一层汇聚可以保证后续能够配置上下行虚拟线同步和动态链路聚合,进而可以有效提升防火墙系统的鲁棒性,降低因意外故障导致的网络中断风险,为用户提供更为安全可靠的网络环境。
本文档来自技高网...【技术保护点】
1.一种防火墙系统,其特征在于,所述防火墙系统包括:防火墙层、汇聚交换机层以及接入交换机层,所述防火墙层与所述汇聚交换机层之间通过链路聚合层进行通信连接,所述汇聚交换机层与所述接入交换机层之间通过链路聚合层进行通信连接;
2.如权利要求1所述的防火墙系统,其特征在于,所述主墙与所述从墙之间通过专用HA链路搭建高可用集群,所述主墙与所述从墙之间周期性发送HA心跳信息,通告本地可用的虚拟线条数。
3.如权利要求1所述的防火墙系统,其特征在于,所述防火墙层通过链路聚合层与核心交换机层通信连接。
4.如权利要求2所述的防火墙系统,其特征在于,所述核心交换机层包括堆叠部署的至少两台核心交换机设备,至少两台所述核心交换机设备的下行口通过链路聚合层与所述防火墙层进行通信连接。
5.如权利要求1所述的防火墙系统,其特征在于,所述汇聚交换机层包括堆叠部署的至少两台汇聚交换机设备,至少两台所述汇聚交换机设备的上行口通过链路聚合层与所述防火墙层进行通信连接。
6.如权利要求5所述的防火墙系统,其特征在于,所述每台所述汇聚交换机设备的下行口分别
7.如权利要求1至6中任一项所述的防火墙系统,其特征在于,所述链路聚合层通过LACP协议进行构建。
8.如权利要求7所述的防火墙系统,其特征在于,所述链路聚合层通过设备中的链路聚合控制协议数据单元来交互链路聚合的相关信息。
9.如权利要求7所述的防火墙系统,其特征在于,所述核心交换机设备与所述汇聚交换机设备的交换机侧添加聚合接口最大选中数为1,聚合口成员接口下添加接口优先级配置,接口优先级配置用于使交换机聚合口的成员口选中状态与防火墙主备状态一致,以保障业务始终以一侧转发,聚合接口最大选中数为1用于保证分裂后,交换机ARP表项和MAC表项不刷新。
10.一种防火墙装置,其特征在于,所述防火墙装置包括主墙以及从墙,采用二层主备部署,所述主墙与所述从墙之间为虚拟线配置,所述主墙与所述从墙通过链路聚合层与汇聚交换机层进行通信连接。
...【技术特征摘要】
1.一种防火墙系统,其特征在于,所述防火墙系统包括:防火墙层、汇聚交换机层以及接入交换机层,所述防火墙层与所述汇聚交换机层之间通过链路聚合层进行通信连接,所述汇聚交换机层与所述接入交换机层之间通过链路聚合层进行通信连接;
2.如权利要求1所述的防火墙系统,其特征在于,所述主墙与所述从墙之间通过专用ha链路搭建高可用集群,所述主墙与所述从墙之间周期性发送ha心跳信息,通告本地可用的虚拟线条数。
3.如权利要求1所述的防火墙系统,其特征在于,所述防火墙层通过链路聚合层与核心交换机层通信连接。
4.如权利要求2所述的防火墙系统,其特征在于,所述核心交换机层包括堆叠部署的至少两台核心交换机设备,至少两台所述核心交换机设备的下行口通过链路聚合层与所述防火墙层进行通信连接。
5.如权利要求1所述的防火墙系统,其特征在于,所述汇聚交换机层包括堆叠部署的至少两台汇聚交换机设备,至少两台所述汇聚交换机设备的上行口通过链路聚合层与所述防火墙层进行通信连接。
...
【专利技术属性】
技术研发人员:吴晗,刘欢,丁秀莉,
申请(专利权)人:中国工程物理研究院电子工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。